一、前言深受阿里白帽大会depy师傅分享的议题《攻防演练中非传统web攻击面自动化利用与发现》的启发,尝试开发类似可以实现自动化提取分析的工具,于此文,分享我取得的进展。二、实践为保护知识成果,仅从自...
04月09日移动安全123 views评论auto
微信小程序
[AOH 022]微信小程序自动化提取与扫描实践
04月09日移动安全123 views评论auto
微信小程序
04月09日移动安全123 views评论auto
微信小程序
记一次超骚的SRC漏洞挖掘思路
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!前言在这家SRC漏洞挖掘...
03月22日156 views评论数据包
文档
针对小程序的漏洞挖掘
0x00 前言承接上一篇APP业务挖洞的碎碎念,此篇文章主要是针对小微信程序的漏洞挖掘,微信小程序默认是直接使用自己微信登陆的,我们对小程序的漏洞挖掘,关注点还是在逻辑漏洞上面,下面将从环...
03月17日64 views针对小程序的漏洞挖掘已关闭评论burp
漏洞挖掘
针对小程序的漏洞挖掘
0x00 前言承接上一篇APP业务挖洞的碎碎念,此篇文章主要是针对小微信程序的漏洞挖掘,微信小程序默认是直接使用自己微信登陆的,我们对小程序的漏洞挖掘,关注点还是在逻辑漏洞上面,下面将从环...
02月22日62 views针对小程序的漏洞挖掘已关闭评论https
漏洞
微信小程序的任意用户登录实战
利用模拟器抓取微信小程序及APP包
本文仅用于记录自身学习过程。条件:抓取微信小程序数据包的关键点,就是SSL证书绑定的问题。在安卓系统7.0以下的版本,不管微信是什么版本,都会信任系统提供的证书,而现在微信版本已经到了8.0.16 且...
01月24日216 views评论burpsuite
版本
微信小程序测试_反编译_一键化工具py2_wxapp
前言最近测试微信小程序的时候没有找到那种一键化的工具。每次都是他运行一下,另一个运行一下。单包的时候还好说,最近遇到很多分包的情况。差点累死。然后写了这个聚合工具。介绍py2_wxapp_V1.1版本...
12月28日105 views评论反编译
小程序
一次微信小程序的测前准备
作为一名后勤人员,工作的首要任务就是帮兄弟们做好战前准备工作。这不来了一个微信小程序的活。还好抓包兄弟们那边没有问题。主要是加密破解问题。1.wxapkg 包的获取与反编译在这之前先大概介绍一下小程序...
12月28日31 views评论反编译
小程序
渗透实战 | 抓取微信小程序流量包
前言现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序,微信公众号进行测试。接下来我将对微信小程序来进行抓包发送给burpsuit。Proxifier使用Proxifier是一款功能非常强...
12月19日172 views评论proxy
小程序
行程卡纪念版疯传,会泄露用户个人信息吗?
2022年12月13日0时“通信行程卡”正式下线一些有仪式感的网友赶在零点前截了个图,留作纪念与此同时一项名为“行程卡纪念版”的新型服务也随即在朋友圈流行其依托微信小程序和微信公众号供用户使用此事甚至...
12月17日64 views评论个人信息
小程序
渗透实战 | 抓取APP流量包
前言现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序,微信公众号进行测试。接下来我将对微信小程序来进行抓包发送给burpsuit。Yakit使用Yakit官网:https://www.y...
12月16日97 views评论渗透实战
渗透测试
渗透实战|记一次微信小程序渗透测试
免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
12月09日258 views评论文件上传
渗透测试
8